금융위원회는 23일 정례회의에서 이같은 내용의 ‘전자금융감독규정’ 개정안을 의결했다.
금융당국은 금융 업무의 디지털 전환이 가속화되면서 클라우드, 빅데이터, 인공지능(AI) 같은 신기술에 대한 금융권의 수요가 늘어난 반면, 보안 규제가 엄격해 금융혁신이 어렵다는 현장의 목소리를 반영해 이번 개정안을 마련했다고 설명했다.
기존에는 금융회사가 클라우드 서비스를 이용하려면 업무 중요도 평가와 클라우드서비스제공자(CSP) 안전성 평가 등 복잡한 단계를 수행한 후 정보보호위원회의 심의·의결을 거쳐 이용계약을 체결하고 금융감독원에 사전 보고해야했다. 그러나 중요도 판단 기준이 불명확하고, CSP 평가 항목이 141개로 많은 데다, 보고 절차도 복잡해 기업의 부담이 크다는 지적이 제기돼왔다.
금융당국은 이에 클라우드 이용이 가능한 업무범위를 명확히 하고 중복되거나 유사한 이용절차를 정비했다. CSP 평가의 항목은 141개에서 54개로 축소된다. 비중요업무는 54개 중에서 필수항목(16개)만 평가하도록 간소화했다.
국내외 보안인증을 획득한 CSP에 대해선 인증 때 평가한 항목을 제외한 항목만 평가해도 된다. 동일한 CSP에 대해 여러 금융회사가 평가를 중복하는 비효율을 개선하기 위해 금융보안원이 대표로 CSP를 평가하고, 금융회사는 이를 활용할 수 있도록 하는 '대표평가제'도 도입한다. 금감원 사전보고는 3개월 이내 사후보고로 전환된다.
망 분리 규제도 완화된다. 금융권에는 다른 업종과 달리 물리적 망 분리 의무화가 적용되면서 신기술 개발의 효율성과 혁신기술 활용도가 떨어진다는 지적이 제기됐다. 망 분리는 내부 전산자원을 보호하고자 내부망과 외부망을 구분하는 보안기법으로, 해킹 같은 사이버공격에 대비하기 위한 조치다.
금융당국은 개인신용정보를 보유하지 않거나 금융과 관련한 중요성이 낮은 개발, 테스트 서버에는 망 분리 규제를 예외적으로 완화하기로 했다. 고객정보를 다루지 않는 운영시스템, 비중요업무용 클라우드 방식 소프트웨어(SaaS)에도 망 분리를 허용한다는 방침이다.
금융위는 내년 1월 1일부터 전자금융감독규정 개정안을 시행할 예정이다.
금융위 관계자는 “제도 개선에 따른 세부 절차, 구체적인 사례, 유권해석반을 통해 회신된 금융회사 등의 질의사항을 반영하여 ‘금융분야 클라우드컴퓨팅서비스 이용 가이드’를 개정했다”며 “제도 시행 전 2개월 간 금융회사 등의 정보보호위원회 구성·운영 현황, 정보기술부문 내부통제현황 등에 대한 서면·현장 점검, 컨설팅을 진행할 예정”이라고 말했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지